samedi 10 décembre 2011

Social Engineering Toolkit (Partie II: le site web malveillant)

Dans notre série "découverte de SET” (Social Engineering Toolkit) nous allons nous intéresser à la création d'une page web contenant un code malveillant permettant de prendre la main sur la machine de la victime.
Une fois l'accès permis, nous allons récupérer les mots de passe de la victime en utilisant le bon vieux "John The Ripper".

Après avoir configuré SET (en utilisant notre Backtrack 5 préféré) pour générer une fausse page web, et après avoir choisi le type de charge utile, nous lançons le serveur nous permettant d'attendre patiemment la connexion de la machine de la victime.

Dans cet article nous ne nous intéressons pas aux moyens permettant de provoquer le "clic" de la victime sur notre fausse page web. Mais comme vous le savez il en existe de nombreux comme par exemple l'envoi d'un mail de phishing ciblé ou l'utilisation des réseaux sociaux.

Le scénario est donc le suivant:

  • la victime clique sur la page web
  • le browser s'arrête brutalement
  • un faux exécutable est lancé à l'insu de la victime (la machine est corrompue)
  • l'attaquant prend la main sur la machine de la victime

La vidéo ci-dessous décrit les détails de cette attaque et de sa configuration:

Prenons le cas où le compte de la victime a des droits "utilisateur" alors l'attaquant accède à la machine mais il lui est nécessaire de mettre en œuvre une élévation de privilèges pour accéder aux mots de passe.
Si le compte de la victime a les droits "administrateur" alors tout devient plus simple; l'attaquant accède directement au fichier des mots de passe.

Il ne lui reste alors plus qu'à utiliser John The Ripper pour découvrir le mot de passe "administrateur" de la machine (et ce n'est qu'un exemple).

Pour information le test a été fait avec un Windows XP SP3 et Internet Explorer 6 (selon SET cette attaque fonctionne également avec IE 6, 7, 8, 9 et Firefox).

Est-il nécessaire de rappeler les règles élémentaires de protection? Non bien sûr, vos droits, lorsque vous surfez sur internet, ne sont pas des droits "administrateur"!

Publié par

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)

Partager avec...